Passwort-Generator: starke Passwörter im Browser erzeugen
Passwort-Generator mit Entropie-Erklärung. Länge und Charset-Größe bestimmen die Bits, die Bits das Stärke-Label. Schwach-Warnung mit One-Click-Fix. Lokal, kein Account.
Ein starkes Passwort ist nicht das mit den meisten Sonderzeichen, sondern das mit den meisten zufälligen Bits. Der Generator unten zeigt diese Bits live: Länge, Charset-Größe, log₂, Entropie-Bits, Stärke-Label. Jeder Schritt ist ein eigener Chip, die Rechnung steht offen.
Die Passwortstärke erklärt
Rechenzeit: praktisch unknackbar
Die Bit-Zahl liegt leicht unter Länge × log₂(Charset), weil jede aktive Zeichenklasse mindestens einmal vorkommen muss. Die Rechenzeit ist eine Schätzung gegen Offline-Bruteforce.
+N = Beitrag zur Charset-Größe
Was ist Entropie und warum geht es nicht ohne?
Entropie ist die Maßeinheit für Zufall. Bei einem Passwort sagt sie, wie viele Versuche ein Angreifer im Mittel braucht, bis er deins errät. Eine 6-stellige PIN aus Ziffern hat 10⁶ ≈ 1 Million Möglichkeiten, also rund 20 Bits. Das Standard-Setup dieses Tools hat 74 mögliche Zeichen. Ein zufälliges 16-Zeichen-Passwort daraus kommt auf rund 99 Bits. Zur PIN ist das ein riesiger Abstand.
Die Kaskade oben rechnet das offen vor: links die Länge oder Wortzahl, daneben die Charset-Größe oder Wortlistengröße, dann log₂ pro Element, dann die Bits gesamt, dann die Stärke-Bucketung. Die Grundformel ist Bits = Länge × log₂(Charset-Größe). Wenn mehrere Zeichenklassen aktiv sind, zieht das Tool leicht ab, weil jede Klasse mindestens einmal vorkommen muss.
Welche Länge und welche Zeichenklassen reichen?
Faustregel: 16 zufällige Zeichen. Im Standard-Setup dieses Tools mit allen vier Klassen landet das bei rund 99 Bits Entropie und im Bucket "stark". Die Schwach-Warnung verschwindet ab 60 Bits. In der Praxis reicht oft schon mehr Länge, weil Länge schneller Bits bringt als eine weitere Zeichenklasse.
| Setup | Charset-Größe | Länge | Bits | Stärke |
|---|---|---|---|---|
| Nur Kleinbuchstaben, 8 Zeichen | 26 | 8 | ~38 | schwach |
| Klein + Groß + Ziffern, 12 Zeichen | 62 | 12 | ~71 | gut |
| Alle vier Klassen, 16 Zeichen | 74 | 16 | ~99 | stark |
| Alle vier Klassen, 20 Zeichen | 74 | 20 | ~124 | stark |
Sonderzeichen ohne Länge bringen wenig: Ein 10-Zeichen-Passwort mit dem vollen 74er-Charset ist schwächer als ein 14-Zeichen-Passwort ohne Sonderzeichen aus einem 62er-Charset. Länge ist meist der billigere Hebel.
Passwort oder Passphrase?
Der Modus-Schalter oben tauscht zwischen zufälligen Zeichen und mehreren Wörtern aus einer Wortliste. Beide stützen sich auf denselben Generator (crypto.getRandomValues), unterscheiden sich aber im Charset:
- Passwort: jedes Element ist ein Zeichen aus dem aktuell aktivierten Zeichenvorrat. Hohe Bits pro Zeichen, niedrige Merkbarkeit.
- Passphrase: jedes Element ist ein Wort aus einer kuratierten 1296er-Liste, abgeleitet von der EFF Short Wordlist 1 (log₂(1296) ≈ 10,3 Bits pro Wort). Niedrigere Bits pro Element, dafür merkbar.
Eine 4-Wort-Passphrase erreicht rund 41 Bits - weniger als ein zufälliges 8-Zeichen-Passwort im Standard-Setup dieses Tools (rund 49 Bits). Für 60+ Bits brauchst du mindestens 6 Wörter (≈ 62 Bits), oder du wechselst in den Passwort-Modus für Stellen ohne Tipp-Pflicht, etwa im Passwortmanager.
Wann wird die Schwäche-Warnung angezeigt?
Die Warnung über der Entropie-Kaskade erscheint, wenn die Schätzung unter 60 Bits liegt. Mehr prüft das Tool nicht. Drei typische Fälle:
- Zu kurz im Passwort-Modus. Acht Zeichen aus dem Standard-Setup ergeben rund 49 Bits und bleiben damit unter der Warnschwelle.
- Zu kleine Zeichenauswahl. Wenn du Länge reduzierst und gleichzeitig Klassen abschaltest, fallen die Bits schnell unter 60.
- Zu wenige Wörter im Passphrase-Modus. Vier Wörter aus der 1296er-Liste kommen nur auf rund 41 Bits. Sechs Wörter heben die Schätzung auf rund 62 Bits.
Im Passwort-Modus kann die Karte je nach Zustand drei Fixes anbieten: Länge auf 16, Sonderzeichen aktivieren, mehr Klassen aktivieren. Im Passphrase-Modus gibt es genau einen Fix: auf 6 Wörter erhöhen.
Häufige Fragen
Wie lang sollte ein sicheres Passwort sein?
Mindestens 12 Zeichen, besser 16. Im Standard-Setup dieses Tools erreicht ein zufälliges 16-Zeichen-Passwort rund 99 Bits Entropie. Die Schwach-Warnung verschwindet ab 60 Bits.
Was bedeutet Entropie bei Passwörtern?
Entropie misst, wie viele Versuche ein Angreifer im Schnitt braucht, um ein zufälliges Passwort zu erraten. 40 Bits bedeuten rund 2⁴⁰ ≈ 1 Billion Möglichkeiten, 60 Bits rund 1 Trillion. Die Kaskade zeigt die Grundformel Bits = Länge × log₂(Charset-Größe) und berücksichtigt bei mehreren aktiven Klassen zusätzlich die Pflicht, jede Klasse mindestens einmal zu treffen.
Sind Passphrasen sicherer als zufällige Passwörter?
Nicht automatisch. Eine 4-Wort-Passphrase aus einer 1296-Wort-Liste hat etwa 41 Bits Entropie und bleibt damit unter einem zufälligen 8-Zeichen-Passwort im Standard-Setup dieses Tools mit rund 49 Bits. Für 60+ Bits brauchst du hier mindestens 6 Wörter.
Wie lange dauert es, ein 16-stelliges Passwort zu knacken?
Bei einem zufälligen 16-Zeichen-Passwort aus dem Standard-Setup dieses Tools sind das rund 99 Bits Entropie. Im groben Modell des Tools mit 10¹⁰ Versuchen pro Sekunde liegt das weit jenseits praktischer Brute-Force-Zeiträume.